특정 AD/OpenLDAP 상호 운용성 사례를 조사하는 동안 흥미로운 문제에 직면했습니다. OpenLDAP 서버에는 gidNumber가 group1에 해당하는 user1이 있습니다. gidNumber가 group2에 해당하는 또 다른 user2가 있습니다. 그러나 group1은 user2만 구성원으로 나열하고 group2는 두 사용자를 모두 나열합니다. 이것이 어떻게 가능한지?
Linux 환경의 gidNumber는 AD에서 PrimaryGroupID가 작동하는 방식과 유사하게 작동할 것으로 예상했습니다. 그러나 AD에서는 memberOf 및 member 필드가 적절하게 연결되어 있고 PrimaryGroupID가 이 링크에서 제외되지만 사용자는 기본 그룹의 구성원으로 이해됩니다. 그러나 OpenLDAP의 경우 memberOf 필드가 없으며 gidNumber를 지정해도 그룹 멤버십이 부여되지 않는 것 같습니다. 그렇다면 user1을 group1의 구성원으로 간주하는 것이 잘못된 것입니까? 이 경우 올바른 동작에 대한 문서가 있습니까?
내 구체적인 문제는 AD에서 user1이 group1의 구성원이 아니어서는 안 되지만, 새로운 interop 소유 그룹 논리가 OpenLDAP의 gidNumber를 사용하여 그럼에도 불구하고 그를 기본 그룹으로 이 그룹에 매핑하고 PrimaryGroupID를 덮어쓴다는 것입니다. 도메인 사용자)를 AD에 추가합니다. 예를 들어, group1 사용자에 대한 액세스를 거부하고 group2 사용자에게 이를 허용하려는 경우 문제가 발생합니다. user1은 허용되고 user2만 거부될 것으로 예상하더라도 이 매핑으로 인해 user1이 예기치 않게 액세스 권한을 잃습니다.
이에 대한 수정과 조언을 기꺼이 받아드리겠습니다.